Digitale Energiewende und ständiger Cyberkrieg? Was wir für mehr Sicherheit im vernetzten Zeitalter tun können

Ohne Digitalisierung gibt es keine Energiewende. Doch ist eine klimaneutrale Energieversorgung zwangsläufig nur mit wachsender Unsicherheit möglich?

In Zukunft könnte ein gewöhnlicher Wochentag so aussehen: Die Waschmaschine springt um Punkt 12:03 Uhr an. Der Strom ist in diesem Moment am günstigsten, weil der Wind am stärksten weht und die Sonne am kräftigsten scheint. Der geleaste eRoller meldet, dass er vollgeladen ist, weil er die Überkapazitäten des Stromnetzes nutzt. Der Kühlschrank bestellt eine neue Ladung Insektenriegel, weil sie ausgegangen sind. Zeitgleich sind Beamte des neugegründeten Europäischen Amtes für Cybersecurity im Einsatz. Sie haben eine Schadsoftware bei verschiedenen Energieversorgern Europas entdeckt und konnten einen Blackout gerade noch verhindern. Es war nicht das erste Mal.

Was wie Zukunftsmusik klingt, ist heute in Teilen schon der Fall: Nach einer Untersuchung des Bundesamts für Sicherheit in der Informationstechnologie (BSI) waren von 2016 bis 2017 70 Prozent aller befragten Unternehmen und Institutionen in Deutschland Opfer von Cyberattacken. Der digitale Branchenverband Bitkom beziffert die Schäden der Angriffe auf die deutsche Industrie allein zwischen 2017 und 2018 auf 43 Milliarden Euro. Sobald das 5G-Mobilnetz größere Datenmengen verarbeiten kann, sind wir noch vernetzter und damit noch angreifbarer.

Dabei sollte Digitalisierung mehr Komfort schaffen und mit der Energiewende einen Teil dazu beitragen, die Klimakrise zu lösen: Denn um 100 Prozent unabhängige und erneuerbare Energien zu schaffen, brauchen wir intelligente Netze, die miteinander kommunizieren. Sonne und Wind lassen sich nicht so einfach regeln wie konventionelle Kraftwerke. Wir müssen wissen, wann welche Energie ins Netz fließt, wie viel wir verbrauchen und wie viel wir produzieren können. Die sogenannte „Sektorenkopplung” von Strom, Verkehr und Wärme mit verschiedenen Versorgern und Speichern, von Windkraft- bis Photovoltaikanlagen und Pumpspeicherkraftwerken bis Elektroautos, wird immer einfacher möglich. Kurzum: Ohne Digitalisierung keine Energiewende. Doch ist eine klimaneutrale Energieversorgung nur mit wachsender Unsicherheit möglich?

Der Mensch ist das größte Einfallstor für Cyberangriffe

Ja. Da digitale Waffen immer leichter zugänglich, von verschiedenen Orten zu steuern und immer mehr Geräte mit dem Netz verbunden sind, werden die Angriffsmöglichkeiten günstiger und zahlreicher. Kriminelle Gruppierungen können viel Lösegeld erpressen und häufig nur schwer zurückverfolgt werden. Angriffe auf die Infrastruktur anderer Länder oder Unternehmen sind die neuen geopolitischen Waffen für Staaten und deren Geheimdienste. Desinformation verwischt die Spuren in der Öffentlichkeit. Dass Schadsoftware auch in isolierte Großkraftwerke eingeschleust werden kann, zeigte der Fall „Stuxnet“: Im Jahr 2010 legte das mutmaßlich von den USA und Israel entwickelte Sabotage-Programm die Zentrifuge des iranischen Uran-Anreicherungsprogramms lahm. Vermutlich russische Hacker demonstrierten im Jahr 2015, welche Macht sie haben können: 225.000 Haushalte der ukrainischen Hauptstadt Kiew waren eine Woche vor Weihnachten für mehrere Stunden vom Stromnetz abgeschnitten.

Die Gründe für die Einfallstore sind vielseitig: Altlasten vergangener oder fremd eingesetzter Hard- und Software, fehlende Standards bei der IT-Sicherheit, eine Software-Architektur aus vielen zusammengeflickten Einzelteilen oder menschliche Schlampigkeit bzw. menschliches Zutun. Laut einer Umfrage der Bitkom aus dem Jahr 2018 waren mit 63 Prozent aller Täterinnen und Täter von Cyberkriminalität in deutschen Unternehmen am häufigsten aktuelle oder ehemalige Mitarbeitende. Bei allen Science-Fiction-Szenarien über unkontrollierbare Künstliche Intelligenz darf eines nie vergessen werden: Die größte Blackbox bleibt der Mensch. Die größte Unsicherheit ist häufig der von der Arbeit frustrierte Kollege, oder die Kollegin, die auf eine gefälschte E-Mail hereinfällt und Opfer von Identitäts-Diebstahl wird.

Unternehmen und Politik müssen IT-Sicherheit zum neuen europäischen Qualitätsmerkmal machen

Doch Unternehmen können proaktiv mit den Herausforderungen umgehen. In Form von „Coopetition“, also Kooperation trotz Wettbewerb, können konkurrierende Unternehmen aus ähnlichen Industrien Cybersecurity-Kompetenzzentren mit anderen Akteuren aufbauen, um die eigene IT-Infrastruktur zu hacken und damit zu schützen. Für eine stärkere Cyberawareness können Mitarbeitende in vernetzten Industrien Grundlagen über Hacking lernen und Situationen als Trainings simulieren. „Bug-Bounty-Programme”, bei denen spezielle Hacking-Aufgaben ausgeschrieben werden, können auch für die Energiebranche nützlich sein und beiläufig IT-Spezialistinnen und -Spezialisten rekrutieren.

Wir müssen aber auch an den Ursachen ansetzen: Um IT-Sicherheit von Anfang an by design mitzudenken, müssen Softwareentwicklung und IT-Sicherheit bei Ausbildung und in Unternehmen stärker miteinander verbunden werden. Außerdem muss der Staat kleinere Unternehmen unterstützen. Ihnen fehlen häufig Personal, Know-How und Geld für IT-Sicherheit, wodurch sie leichte Einfallstore für Angriffe sind. Auch Open Source kann dazu beitragen, dass Sicherheitslücken schneller gefunden und geschlossen werden.

Da vernetzte Infrastrukturen nicht an Landesgrenzen halten, wird die EU in Zukunft eine wichtigere Rolle einnehmen müssen. Ähnlich wie sie mit der Datenschutzgrundverordnung (DSGVO) den Goldstandard beim Datenschutz setzen konnte, muss IT-Sicherheit made in und by Europe zum neuen Qualitätsmerkmal werden. Da Nutzerinnen und Nutzer IT-Sicherheit nicht von außen direkt erkennen können, braucht es europäische IT-Zertifizierungsverfahren für Standards für vernetzte Geräte sowie Ende-zu-Ende-Verschlüsselung. Cybersecurity muss außerdem als das behandelt werden, was es ist: Geopolitik. Es braucht internationale Abkommen, etwa zwischen EU-Staaten, China und den USA, für gegenseitigen Schutz vor Cyber-Angriffen.

100 Prozent Sicherheit in der vernetzten Welt wird zwar nie möglich sein, aber Risiken lassen sich eindämmen. Indem Unternehmen, Mitarbeitende und Politik der IT-Sicherheit eine höhere Relevanz einräumen, kann der Weg des digitalen Fortschritts zu einer klimaneutralen Energieversorgung vollzogen werden und die autonom laufende Waschmaschine mit Sicherheit laufen.

Lucas Gerrits ist Consultant bei TLGG Consulting Berlin. Dieser Text erschien zuerst bei der Stiftung Energie & Klimaschutz.